Leggevo il blog di Feliciano su questo argomento e non posso che essere daccordo con due punti fondamentali:
- Le patch devono essere installate tutte
- In certe configurazioni testare le patch prima del deploy è altrettanto dovuto
Cosa direste se un vostro cliente si lamentasse di buchi, falle di sicurezza o problematiche di altro tipo, che voi avete già risolto, e di cui il cliente non solo è stato avvisato ma gli è sufficiente premere un pulsante per rimediare?
Nel caso specifico delle patch di Windows Update la cosa è ancora più paradossale visto che:
- Nella stragrande maggioranza dei casi le patch sono disponibili molto prima che si configuri un pericolo reale. Già perché chi crea un attacco, lo fa generalmente analizzando le patch che Microsoft mette a disposizione e non disassemblando centinaia di milioni di righe di codice del sistema operativo.
- Configurando gli update in modo completamente automatico il pulsante non è neppure da premere ma fa tutto da solo
- Periodicamente viene anche fatta una scansione per la ricerca del malware
Unico neo: la copia di Windows deve essere originale ... già perché c'è ancora qualcuno che non ha capito che Genuine Advantage è un controllo per la genuinità di Windows e se Windows Update non scarica le patch non è un bug 
ma perché il software è piratato.... e questa non è una barzelletta.
Infine non c'è nulla di irreversibile visto che il rollback delle patch installate è possibile.
Alla fine dei conti per noi che scriviamo software è fondamentale avere una configurazione di un PC che sia in uno stato noto e stabile. Quindi la questione delle patch ci tocca molto da vicino...